حصان طروادة نكرو
في عام 2019، اكتشف باحثو الأمن السيبراني مشكلة مقلقة: تم اختراق تطبيق أندرويد شرعي على متجر Google Play بواسطة مكتبة تابعة لجهة خارجية يستخدمها المطورون لتوليد عائدات الإعلانات. أدى هذا التعديل إلى توصيل 100 مليون جهاز بخوادم يسيطر عليها المهاجمون، والتي نشرت بعد ذلك حمولات مخفية.
وقد عادت نفس الحالة إلى الظهور الآن. فقد حدد خبراء أمن المعلومات تطبيقين جديدين تم تنزيلهما 11 مليون مرة من متجر Google Play، وهما مصابان بنفس عائلة البرامج الضارة. ويبدو أن مجموعة تطوير البرامج غير الآمنة المستخدمة لدمج ميزات الإعلان هي المسؤولة مرة أخرى عن ذلك.
جدول المحتويات
ما هي مجموعة أدوات التطوير البرمجية (SDK)؟
تقدم مجموعات تطوير البرامج (SDKs) للمطورين أطر عمل جاهزة مسبقًا تعمل على تبسيط وتسريع عملية إنشاء التطبيق من خلال التعامل مع المهام الروتينية. في هذه الحالة، تم دمج وحدة SDK غير موثوقة، مصممة على ما يبدو لدعم عرض الإعلانات، في التطبيقات. ومع ذلك، تحت السطح، مكّنت أساليب متقدمة للتواصل سراً مع الخوادم المخترقة. سمح هذا للتطبيقات بتحميل بيانات المستخدم وتنزيل التعليمات البرمجية الضارة، والتي يمكن تنفيذها أو تحديثها في أي وقت.
كيف تقوم أحصنة طروادة Necro بإصابة الأجهزة؟
إن عائلة البرمجيات الخبيثة التي تقف وراء الحملتين تسمى Necro، وفي هذه الحالة، تستخدم بعض المتغيرات تقنيات متقدمة مثل التخفي - وهي طريقة تعتيم نادرة في التهديدات التي تتعرض لها الأجهزة المحمولة. كما تستخدم بعض المتغيرات أساليب متطورة لتقديم كود احتيالي قادر على العمل بامتيازات نظام مرتفعة. بمجرد إصابة الجهاز، فإنه يتواصل مع خادم Command-and-Control الذي يتحكم فيه المهاجم. ويرسل بيانات JSON مشفرة توضح تفاصيل الجهاز المخترق والتطبيق الذي يستضيف الوحدة الاحتيالية.
ثم يستجيب الخادم برسالة JSON تتضمن رابطًا إلى صورة PNG وبيانات وصفية تحتوي على تجزئة الصورة. إذا تحققت الوحدة النمطية الموجودة على الجهاز المصاب من التجزئة، فإنها تشرع في تنزيل الصورة.
وأوضح الباحثون أن وحدة SDK تستخدم خوارزمية إخفاء بسيطة. فعند اجتياز فحص MD5، تستخرج محتويات ملف PNG، وتحديدًا قيم البكسل من قنوات ARGB، باستخدام أدوات Android القياسية. وتسترد طريقة getPixel قيمة حيث يحتوي البايت الأقل أهمية على القناة الزرقاء للصورة، وتبدأ البرامج الضارة معالجتها من هناك.
قد يؤدي حصان طروادة Necro إلى عواقب وخيمة
تقوم الحمولات اللاحقة التي يتم تثبيتها بواسطة البرامج الضارة بتنزيل مكونات إضافية احتيالية يمكن تخصيصها لكل جهاز مصاب لأداء إجراءات مختلفة. يسمح أحد هذه المكونات الإضافية بتنفيذ التعليمات البرمجية بامتيازات نظام مرتفعة. عادةً، يقيد Android العمليات ذات الامتيازات من استخدام WebView - وهو مكون لعرض صفحات الويب داخل التطبيقات. للتغلب على هذا القيد، يستخدم Necro تقنية تُعرف باسم هجوم الانعكاس لإنشاء حدوث منفصل لمصنع WebView.
بالإضافة إلى ذلك، يمكن لهذا المكون الإضافي تنزيل وتنفيذ ملفات أخرى تعدل الروابط المعروضة عبر WebView. وبفضل حقوق النظام المرتفعة، يمكن لهذه الملفات القابلة للتنفيذ تغيير عناوين URL لإدراج أكواد التأكيد للاشتراكات المدفوعة وتنزيل وتشغيل التعليمات البرمجية من الروابط التي يتحكم فيها المهاجم. حدد الباحثون خمسة حمولات مميزة أثناء تحليلهم لـ Necro. بالإضافة إلى ذلك، يوفر الهيكل المعياري لـ Necro طرقًا عديدة لتشغيل البرامج الضارة.
تم العثور على حصان طروادة Necro في تطبيقين
تمكن الباحثون من تحديد Necro في تطبيقين على Google Play. أحدهما، Wuta Camera، حصد 10 ملايين عملية تنزيل. تحتوي الإصدارات 6.3.2.148 إلى 6.3.6.148 من Wuta Camera على مجموعة أدوات تطوير برمجيات خبيثة مسؤولة عن العدوى، ولكن تم تحديث التطبيق منذ ذلك الحين لإزالة المكون الضار. كما تم اختراق تطبيق آخر، Max Browser، الذي حصد ما يقرب من مليون عملية تنزيل؛ ومع ذلك، لم يعد متاحًا على Google Play.
بالإضافة إلى ذلك، اكتشف الباحثون أن Necro يصيب مجموعة من تطبيقات Android المعروضة في الأسواق البديلة. وعادة ما يتم تقديم هذه التطبيقات كإصدارات معدلة من تطبيقات شرعية، بما في ذلك Spotify وMinecraft وWhatsApp وStumble Guys وCar Parking Multiplayer وMelon Sandbox.
